« Cette année encore, pour votre déclaration de revenus, ayez le réflexe Internet. » Comme l'an passé, la Direction générale des impôts (DGI) s'adresse aux contribuables qui ont opté pour la télédéclaration de leurs revenus, afin de les inviter à refaire de même en 2007. Le service est ouvert depuis le 2 mai. La DGI prévoit entre huit et dix millions de télédéclarations, contre 5,7 millions en 2006.

Mais cet e-mail fait figure de contre-exemple en matière de sécurité informatique, ce qui peut étonner pour une administration comme celle de la fiscalité. Il est la preuve qu'organiser une communication simple et conviviale ne va pas sans problèmes.

Côté pratique, ce message contient en effet deux liens hypertexte, qui invitent les internautes à se rendre sur le site des impôts. L'internaute n'a aucun moyen de savoir que ce courriel est bien envoyé par la DGI, et non pas par un pirate qui aurait singé l'adresse officielle pour l'expédier vers un faux site imitant celui de la DGI. L'occasion de récupérer des données personnelles, ou d'installer sur le PC de la personne piégée des chevaux de Troie. Au moment où le phishing fait parler de lui, cet envoi a surpris des experts en sécurité que nous avons consultés.

« On peut imaginer une opération d'abus de confiance pour installer un virus sur le poste de l'utilisateur ou récupérer les données personnelles des contribuables », imagine l'un d'entre eux.

Du côté de la DGI, on admet que les spécialistes de la sécurité puissent être surpris. « Nous ne recommencerons certainement pas l'insertion d'un lien hypertexte dans notre courriel car nous sommes sensibles aux affaires de phishing. C'est l'exemple typique des problèmes de convivialité », explique Alain Issarni, directeur des systèmes d'information de la DGI.

Cette dernière aurait pu opter pour un message avec un certificat de confiance, comme celui utilisé par la Deutsche Postbank (voir notre article). La DGi aurait pu aussi envoyer un e-mail ne contenant aucun lien actif. Elle a donc préféré insérer des liens hypertexte, en comptant sur l'éducation des internautes. « Mais nous sommes conscients que tous ne sont pas encore assez sensibilisés à ces problèmes de sécurité et à la nécessité d'avoir un lien https lors d'une connexion sécurisée », reconnaît Alain Issarni.

Les experts en sécurité que nous avons interrogés ont également souligné la présence, dans ce courriel de la DGI, de deux photos : le logo de Marianne et celui du ministère, aux formats JPG et GIF. Et si le logiciel de messagerie de l'internaute est capable de l'afficher, peut aussi apparaître une image de type WMZ surimprimée. Là encore, ces choix surprennent lorsque l'on connaît le nombre de failles de sécurité liées à ces formats. « Nous pouvons les enlever mais ca ne serait pas un gage supplémentaire de sécurité car cela n'empêcherait pas une personne malveillante d'envoyer un faux e-mail de la DGI et exploitant des photos piégées », indique Alain Issarni.

Le responsable informatique de la DGI tient par ailleurs à préciser que la télédéclaration en elle-même est « très sécurisée puisqu'elle utilise à la fois le certificat qui est sur le PC du contribuable et un mot de passe pour accéder à son espace personnel sur notre site ».